Artikelformat

Der Facebook Like Button und der Datenschutz

Gefällt uns das?Gefällt uns das?

In der diese Woche erscheinenden Ausgabe 11-12/2010 der Zeitschrift Website Boosting, welche ich jedem am Thema Online Marketing Interessierten sehr empfehlen kann, schreibt Rechtsanwalt Dr. Martin Bahr unter dem Titel „Facebook: Eine datenschutzrechtliche Analyse“ unter anderem über die Problematik des Einbindens des Facebook „Gefällt mir“ Knopfes. Dieser Artikel wurde Abonnenten bereits vor Erscheinen des Magazins als PDF-Dokument zur Verfügung gestellt.

Herr Dr. Bahr stellt datenschutzrechtliche Probleme mit Facebook anhand zweier Beispiele dar, den AGB und dem „Like“ (bzw. „Gefällt mir“) Button. Er bezieht sich auf die Website „hamburg.de“, welche den Facebook Like Button wieder entfernt hat, nachdem die Betreiber erkannt hatten, dass dieses Plugin auch Daten von Benutzern an Facebook übermittelt, die gar nicht bei Facebook angemeldet sind und den „Gefällt mir“ Knopf gar nicht betätigen:

Im Zuge der Nutzung stellte sich jedoch heraus, dass das Plugin auch Daten von Personen übertrug, die gar keine Facebook-Nutzer waren und den Button gar nicht anklickten. Das heißt, das Tool übertrug von jedem, der die Webseite ansurfte, Informationen an Facebook.

Um zu verstehen wie das passieren kann, muss man wissen wie der Facebook „Gefällt mir“ Knopf eingebunden wird. Es handelt sich hier nicht einfach um ein auf der einbindenden Seite dargestelltes Bildchen, sondern um einen IFrame, einen „eingebetteten Rahmen“ der Inhalte von fremden Webservern in die aktuelle Seite integrieren kann. Ein solcher IFrame ist quasi eine Webseite innerhalb einer Webseite. Wenn man den Facebook „Gefällt mir“ Knopf also irgendwo sieht, dann hat der Browser bereits eine Verbindung zu Facebook aufgebaut.

Nun ist es natürlich interessant, welche Daten von diesem IFrame an Facebook übertragen werden. Zunächst mal ist da natürlich die IP-Adresse des Nutzers, außerdem der Referrer, also die Adresse der Seite die den Facebook „Gefällt mir“ Button enthält. Um zu sehen, welche weiteren Informationen zwischen Browser und Facebook ausgetauscht werden, habe ich einen Proxy dazwischen geschaltet und die Sitzung aufgezeichnet. Als Proxy nutze ich WebScarab, ein Tool des Open Web Application Security Project.

Analyse der HTTP-Kommunikation des Like-Buttons

Vorbereitungen:

  1. Eine Testseite mit integriertem Facebook Like Button basteln.
  2. Aus Facebook abmelden.
  3. Sämtliche zu facebook.com gehörenden Cookies löschen.
  4. WebScarab starten und die Browserverbindung über den Proxy localhost:8008 umleiten.

1. Versuch – nicht in Facebook angemeldet, keine Facebook-Seite vorher aufgerufen.

Tatsächlich werden von dem Frame fünf Requests an Facebook Server gestellt. Zum einen wird ein PHP-Skript aufgerufen, welches dann eine CSS-, eine Javascript- und zwei PNG-Dateien nachlädt. Cookies werden keine übermittelt oder gesetzt. Das heißt, wenn dieser Benutzer zwei Tage später eine weitere Seite mit einem Facebook „Gefällt mir“ Button aufruft, kann ihn Facebook nicht wiedererkennen und daher auch kein Besuchsprofil erstellen.

2. Versuch – nicht in Facebook angemeldet, aber Facebook Login-Seite aufgerufen.

Nun sieht die Sache anders aus. In diesem Fall gibt es vier Cookies von Facebook, eines davon – mit Namen „datr“ – ist zwei Jahre lang gültig, die anderen nur bis zum Sitzungsende. Der „datr“ Cookie enthält eine Zeichenfolge, anhand welcher der Browser wiedererkannt werden kann. Anhand des Langzeitcookies ist es für Facebook möglich, die Bewegungen dieses Benutzers auf Seiten, die den Facebook „Gefällt mir“ Button eingebaut haben, nachzuvollziehen. Ob dies gemacht wird, weiß ich nicht.

Wohl gemerkt, ich bin immer noch nicht bei Facebook angemeldet, habe nur einmal den Anmeldebildschirm angeschaut.

3. Versuch – in Facebook angemeldet

Die Anzahl Facebook-Cookies hat sich auf zwölf erhöht, wobei das bereits bekannte „datr“ Cookie und ein weiteres names „lu“ zwei Jahre Gültigkeit haben. Zusätzlich zu den Bewegungsdaten auf mit den Facebook Plugins ausgestatteten Seiten kennt Facebook in diesem Fall auch noch die persönlichen Interessen des angemeldeten Benutzers, seine „Likes“ und die seiner Freunde sowie weitere im Facebook-Netzwerk hinterlegte Informationen.

Fazit

Wer nicht bei Facebook angemeldet ist, und auch noch nie eine Facebbok-Seite besucht hat, also auch nicht einmal die Anmeldemaske, wird von Facebook nicht erfasst und dessen Bewegungen auf Seiten mit dem Like-Plugin werden wohl auch nicht nachverfolgt.

Anders sieht es aus, wenn man schon einmal eine Facebook-Seite aufgerufen hat oder wenn man sich gar bewußt aus Facebook abgemeldet hat, im Glauben man wäre dadurch nicht mehr erkennbar. Facebook kann anhand der vorhandenen Cookies den Browser immer noch dem Facebook-Account zuordnen. Ob das gemacht wird, weiß ich nicht.

Immerhin ist Facebook etwas besser im Umgang mit Benutzern, die noch nie mit Facebook in Kontakt waren, als z.B. die Webanalyse-Firma Omniture, welche – im Gegensatz zu Google Analytics – einen Cookie von ihrer eigenen Domain 2o7.net setzt. Dies erlaubt Omniture den Benutzer über mehrere Webseiten hinweg zu tracken. Auch die diversen Online-Werbenetzwerke wie z.B. das mittlerweile zu Google gehörende Doubleclick nutzen diese Technik, ohne dass der Benutzer darüber in Kenntnis gesetzt wird. All dies sind aber lediglich Beispiele für ähnlich gelagerte Fälle, die nur nicht so prominent sind wie Facebook und Google Analytics.

So, spätestens jetzt wisst Ihr, warum wir den Facebook „Like“ Button nur sehr kurz auf dem Blog hatten.

Weitere Informationen

Website-Betreiber haften, wenn sie den Facebook „like“- Button einbinden!

Ähnliche Beiträge:

11 Kommentare

  1. Durch das einfache Aufrufen einer Seite auf frankoli.de wird nichts an Shareaholic übertragen. Das passiert erst, wenn man eines der Icons anklickt.
    Ich denke schon, dass das Shareaholic-Plugin eine bessere Alternative darstellt, da es erstens mehrere Dienste abdeckt und zweitens eben nicht unaufgefordert mit Facebook kommuniziert.
    Den Kritikpunkt müssen wir uns allerdings in Bezug auf das zumindest im Moment noch aktive Flattr-Plugin gefallen lassen. Dieses kommuniziert unaufgefordert mit seinem Host, um zu ermitteln, ob der Artikel bereits geflattered wurde oder nicht.
    Die Problematik bei Facebook sehe ich vor allem in der Tatsache, dass Facebook ziemlich viel über seine Benutzer und vor allem deren Beziehungen zu anderen weiß. Durch den Like-Button kommen dann auch noch Bewegungsprofile im Internet hinzu. Das wollen wir nicht unbedingt unterstützen.
    Wer einen Artikel hier im Blog gut genug findet, um ihn auch anderen zu empfehlen, der kann das ja gerne über die Buttons am Ende des Artikels tun oder das „Auf Facebook Teilen“ Bookmarklet benutzen.

  2. Pingback: Dieses Social Bookmark Tool macht jeden Blog Sexy

  3. Pingback: 2-Klick-Lösung: Alternative zum Facebook "Gefällt mir"- / Like-Button datenschutzkonform? | Externer Datenschutzbeauftragter (BDSG) Sascha Kuhrau

  4. Wie schaut es denn eigentlich damit aus, wenn man keinen „Like Button“ auf der Homepage aht, sondern einfach nur über einen Facebook-Logo zur eigentlichen Facebook-Seite verlinkt? Was ist denn dann? Ist es das gleiche Problem?

  5. @maddin
    Solange das anzuklickende Bild, also z.B. ein Facebook-Logo, nicht von Facebook-Servern geladen wird, ist das etwas anderes. Dann bekommt Facebook nichts von dem Besuch auf der jeweiligen Seite mit, außer natürlich der Nutzer klickt auf diesen Link. Dafür wird es aber auch bald Abhilfe geben. Zumindest in Google Chrome.

  6. Ein toller Artikel – ich merke immer wieder, wie wenig die Leute eigentlich über die technischen Hintergründe verstehen. Es mag sich nur mal jemand vorstellen, der CIA würde so eine Technik verwenden, um Bewegungsdaten zu sammeln – es gäbe einen Aufschrei ohne gleichen. Aber bei Facebook nimmt das die Masse einfach hin, ich glaibe, weil viele nicht verstehen, was Facebook alles so anstellt.

    Darf ich an dieser Stelle vielleicht auf eine kleine Community aufmerksam machen, von der ich gerade bei Horizont.net gelesen habe. Ich finde die Idee einfach toll: Die haben jetzt für 2 Wochen jede Werbung von der Plattform entfernt – aus Protest gegen den Umgang von Google, Facebook & Co mit dem Datenschutz. Die Betreiber wollen darauf aufmerksam machen, dass sie zwischen den Stühlen sitzen: auf der einen Seite die Benutzer, die natürlich gerne ihre Daten geschützt wissen wollen, und auf der anderen Seite Google, Facebook & Co, die sie als Betreiber brauchen, um ihr Projekt erfolgreich vermarketen zu können. Ich finde, das ist ein Dilemma, in dem jeder Seitenbetreiber steckt, oder? Hier deren Statement zu ihrer Aktion: http://www.diaet-clique.de/news/2012/05/verzichten-zwei-wochen-auf-werbung-als-zeichen-fuer-mehr-datenschutz-im-internet-32380

  7. Ergänzung zum „Like bzw. Gefällt mir Button“
    Durch die zusätzliche Entscheidungsinstanz, die von zunächst heise proklamiert wurde, kommt die Lösung der „Zwei-Klick-Variante“ den Vorgaben des Datenschutzrechtes definitiv näher. Da das BDSG die informierte Einwilligung fordert (also die datenschutzrechtliche Belehrung vor der Einwilligung), soll an dieser Stelle die abschließende Bewertung offen bleiben. Es darf allerdings die Verbesserung durch die zusätzliche Entscheidungsinstanz festgehalten werden!

    Das Tracking der Nutzerdaten (basierend auf den Inhalten der Artikels) würde dafür sorgen, dass praktisch Daten jedes Internetnutzers (da fast jeder zumindest mal auf der Webseite von Facebook war) erfasst werden.

    Empfehlung daher:
    Egal wie die Entwicklung sein wird: DATENSPARSAMKEIT!!!

  8. Pingback: Facebook Like-Box Problem - Seite 2 - nPage.de - Forum

  9. Pingback: Rechtssichere Integration des Share-Buttons › comspace Blog

  10. Pingback: Neues Design für den Blog - FrankOli.de

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.